Genérico 3min de Leitura - 12 de diciembre de 2022

Parche no oficial lanzado para la nueva vulnerabilidad de día cero de Windows

patch gratuito vulnerabilidades dia zero

This post is also available in: Português Español

Se ha puesto a disposición un parche no oficial para una vulnerabilidad de día cero que se está explotando activamente en Windows 10 y 11. La falla permite que los archivos firmados con firmas mal formadas eludan las protecciones Mark-of-the-Web (MotW).

La solución, lanzada por 0patch, se produce después de los informes de que una campaña de ransomware Magniber estaba dirigida a los usuarios con actualizaciones de seguridad falsas, que emplean un archivo JavaScript para propagar el malware de cifrado de archivos.

dicas ransomware

A pesar de que los archivos descargados de Internet en Windows están marcados con un indicador MotW para evitar acciones no autorizadas, se ha descubierto que se pueden usar firmas de Authenticode corruptas para permitir que ejecutables arbitrarios se ejecuten sin advertencias de SmartScreen.

La vulnerabilidad

El investigador de ciberseguridad Will Dormann, identificó la vulnerabilidad en Windows en mayo de este año. Tal vulnerabilidad permite a los ciberdelincuentes evitar que el sistema operativo Windows defina el indicador “Web Mark” ( Mark-of-the-Web, – MOTW) en los archivos extraídos de un archivo ZIP, incluso si se originaron en una fuente no confiable, como Internet, correo electrónico o un dispositivo USB.

No tener sus archivos maliciosos marcados con MOTW (Web Mark) es una gran ventaja para los ciberdelincuentes. Esta es la razón por la cual esta vulnerabilidad es tan valiosa para los actores de amenazas y debe ser reparada.

Aunque Dormann notificó a Microsoft en julio sobre el problema, todavía no hay un parche oficial para solucionar esta vulnerabilidad. Lo que motivó a 0patch a proporcionar un parche no oficial, hasta que Microsoft solucione el problema en cuestión.

Firmas de Authenticode con formato incorrecto

Authenticode es una tecnología de firma de código de Microsoft. La tecnología utiliza técnicas criptográficas para verificar la identidad del editor y la integridad del código, es decir, para evaluar que no haya sido manipulado después de haber sido firmado y publicado.

Según Dormann, si el archivo tiene una firma Authenticode mal formada, Windows permite la ejecución automática del archivo y ya no presenta la advertencia de seguridad señalada por SmartScreem.

El bug de día cero es el resultado de que SmartScreen lanza una excepción al analizar la firma con formato incorrecto, lo que se interpreta incorrectamente como una decisión de ejecutar el programa en lugar de activar una advertencia.

El error de Según Kevin Beaumont, que también es investigador de seguridad, las correcciones para la falla también llegan menos de dos semanas después de que se enviaran parches no oficiales para otra falla de derivación de MotW de día cero, que apareció en julio, y desde entonces ha estado en bajo ataque activo.

Instalando el patch

Como se mencionó anteriormente, 0patch ha decidido lanzar una solución no oficial que se puede usar hasta que Microsoft publique una actualización de seguridad oficial, ya que esta vulnerabilidad de día cero se explota activamente en los ataques de ransomware.

La instalación del parche es simple y gratuita, simplemente registre una cuenta gratuita de 0patch e instale su agente.

Una vez instalados, los parches se aplicarán automáticamente sin necesidad de reiniciar el sistema si no hay políticas de parches personalizadas para bloquearlos.

Fuentes: BleepingComputer, 0patch.

This post is also available in: Português Español